Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法


Posted in Python onAugust 16, 2015

HTTPS简介
HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html

SSL证书
证书类型简介
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA)。CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA签署的证书为您的服务器提供两个重要的功能:

  1.     浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接。
  2.     当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。

    多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接。

制作CA证书
ca.key CA私钥:

    openssl genrsa -des3 -out ca.key 2048  

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    ca.crt CA根证书(公钥):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

制作网站的证书并用CA签名认证
这里,假设网站域名为www.example.com,生成com.example.com证书私钥:

 

openssl genrsa -des3 -out www.example.com.pem 1024

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    制作解密后的www.example.com证书私钥:

openssl rsa -in www.example.com.pem -out www.example.com.key

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    生成签名请求:

openssl req -new -key www.example.com.pem -out www.example.com.csr

   

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    可以在Common Name中填入网站域名,即可生产该网站的证书。
用CA进行签名:

   
openssl ca -policy policy_anything -days 365 -cert ca.crt -keyfile ca.key -in www.example.com.csr -out www.example.com.crt 
可能执行签名时,会出现“I am unable to access the ./demoCA/newcerts directory”问题:

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

解决方法:

mkdir -p demoCA/newcerts 
  touch demoCA/index.txt 
  touch demoCA/serial 
  echo "01" > demoCA/serial

然后,再执行签名命令即可。

基于Nginx搭建HTTPS虚拟主机
虚拟主机配置文件

upstream sslfpm { 
    server 127.0.0.1:9000  weight=10  max_fails=3 fail_timeout=20s; 
  } 
   
  server {  
    listen    192.168.1.*:443;  
    server_name 192.168.1.*;  
     
    #为一个server开启ssl支持 
    ssl         on; 
    #为虚拟主机指定pem格式的证书文件 
    ssl_certificate   /home/wangzhengyi/ssl/wangzhengyi.crt;  
    #为虚拟主机指定私钥文件 
    ssl_certificate_key /home/wangzhengyi/ssl/wangzhengyi_nopass.key;  
    #客户端能够重复使用存储在缓存中的会话参数时间 
    ssl_session_timeout 5m; 
    #指定使用的ssl协议  
    ssl_protocols SSLv3 TLSv1;  
    #指定许可的密码描述 
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;  
    #SSLv3和TLSv1协议的服务器密码需求优先级高于客户端密码 
    ssl_prefer_server_ciphers  on;  
   
    location / {  
      root  /home/wangzhengyi/ssl/; 
      autoindex on; 
        autoindex_exact_size  off; 
        autoindex_localtime on; 
    }  
      # redirect server error pages to the static page /50x.html 
      # 
      error_page  500 502 503 504 /50x.html; 
      error_page  404 /404.html; 
   
    location = /50x.html { 
        root  /usr/share/nginx/www; 
      } 
    location = /404.html { 
        root  /usr/share/nginx/www; 
      } 
     
      # proxy the PHP scripts to fpm 
      location ~ \.php$ { 
      access_log /var/log/nginx/ssl/ssl.access.log main; 
      error_log /var/log/nginx/ssl/ssl.error.log; 
      root /home/wangzhengyi/ssl/;  
      fastcgi_param  HTTPS  on; 
        include /etc/nginx/fastcgi_params;  
        fastcgi_pass  sslfpm; 
      } 
  }

HTTPS服务器优化
方法
SSL操作需要消耗CPU资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手,有两种方法可以将每个客户端的握手操作数量降到最低:

    保持客户端长连接,在一个SSL连接发送多个请求
    在并发的连接或者后续的连接中重用SSL会话参数,这样可以避免SSL握手操作。

会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放约4000个会话。默认的缓存超时时间是5m,可以使用ssl_session_timeout加大它。
ssl_session_cache指令

    语法:ssl_session_cache off|none|builtin:size|shared:name:size 
    使用环境:main,server 
    缓存类型: 
    off -- 硬关闭,nginx明确告诉客户端这个会话不可重用 
    none -- 软关闭,nginx告诉客户端会话能够被重用,但是nginx实际上不会重用它们 
    bultin -- openssl内置缓存,仅可用于一个工作进程.可能导致内存碎片 
    shared -- 所有工作进程的共享缓存。(1)缓存大小用字节数指定(2)每个缓存必须拥有自己的名称(3)同名的缓存可用于多个虚拟主机 

优化示例

#优化ssl服务 
  ssl_session_cache  shared:wzy:10m;  
  #客户端能够重复使用存储在缓存中的会话参数时间 
  ssl_session_timeout 10m;

nginx强制使用https访问(http跳转到https)

基于nginx搭建了一个https访问的虚拟主机,监听的域名是test.com,但是很多用户不清楚https和http的区别,会很容易敲成http://test.com,这时会报出404错误,所以我需要做基于test.com域名的http向https的强制跳转

nginx的rewrite方法

思路
这应该是大家最容易想到的方法,将所有的http请求通过rewrite重写到https上即可

配置

server { 
    listen 192.168.1.111:80; 
    server_name test.com; 
     
    rewrite ^(.*)$ https://$host$1 permanent; 
  }

搭建此虚拟主机完成后,就可以将http://test.com的请求全部重写到https://test.com上了

nginx的497状态码

error code 497

  497 - normal request was sent to HTTPS

解释:当此虚拟站点只允许https访问时,当用http访问时nginx会报出497错误码

思路
利用error_page命令将497状态码的链接重定向到https://test.com这个域名上

配置

server { 
    listen    192.168.1.11:443; #ssl端口 
    listen    192.168.1.11:80;  #用户习惯用http访问,加上80,后面通过497状态码让它自动跳到443端口 
    server_name test.com; 
    #为一个server{......}开启ssl支持 
    ssl         on; 
    #指定PEM格式的证书文件  
    ssl_certificate   /etc/nginx/test.pem;  
    #指定PEM格式的私钥文件 
    ssl_certificate_key /etc/nginx/test.key; 
     
    #让http请求重定向到https请求  
    error_page 497 https://$host$uri?$args; 
  }

index.html刷新网页

思路
上述两种方法均会耗费服务器的资源,我们用curl访问baidu.com试一下,看百度的公司是如何实现baidu.com向www.baidu.com的跳转

Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

可以看到百度很巧妙的利用meta的刷新作用,将baidu.com跳转到www.baidu.com.因此我们可以基于http://test.com的虚拟主机路径下也写一个index.html,内容就是http向https的跳转

index.html

  <html> 
  <meta http-equiv="refresh" content="0;url=https://test.com/"> 
  </html>
Python 相关文章推荐
python将html转成PDF的实现代码(包含中文)
Mar 04 Python
python遍历序列enumerate函数浅析
Oct 17 Python
python实现对指定字符串补足固定长度倍数截断输出的方法
Nov 15 Python
对pandas处理json数据的方法详解
Feb 08 Python
python opencv minAreaRect 生成最小外接矩形的方法
Jul 01 Python
python如何统计代码运行的时长
Jul 24 Python
python中调试或排错的五种方法示例
Sep 12 Python
python实现两个一维列表合并成一个二维列表
Dec 02 Python
利用keras加载训练好的.H5文件,并实现预测图片
Jan 24 Python
Python代码中如何读取键盘录入的值
May 27 Python
Python3爬虫关于识别点触点选验证码的实例讲解
Jul 30 Python
python 办公自动化——基于pyqt5和openpyxl统计符合要求的名单
May 25 Python
使用Python操作MySQL的一些基本方法
Aug 16 #Python
Python中list列表的一些进阶使用方法介绍
Aug 15 #Python
Python中的super()方法使用简介
Aug 14 #Python
在Python中使用正则表达式的方法
Aug 13 #Python
简单讲解Python中的闭包
Aug 11 #Python
Python实现短网址ShortUrl的Hash运算实例讲解
Aug 10 #Python
python实现web方式logview的方法
Aug 10 #Python
You might like
高分R级DC动画剧《哈莉·奎茵》第二季正式预告首发
2020/04/09 欧美动漫
批量修改RAR文件注释的php代码
2010/11/20 PHP
深入解析PHP中逗号与点号的区别
2013/08/05 PHP
php获取qq用户昵称和在线状态(实例分析)
2013/10/27 PHP
PHP类的声明与实例化及构造方法与析构方法详解
2016/01/26 PHP
php微信高级接口群发 多客服
2016/06/23 PHP
PHP与JavaScript针对Cookie的读写、交互操作方法详解
2017/08/07 PHP
PHP实现用户登录的案例代码
2018/05/10 PHP
利用JQuery和JS实现奇偶行背景颜色自定义效果
2012/11/19 Javascript
Javascript字符串对象的常用方法简明版
2014/06/26 Javascript
javascript密码强度校验代码(两种方法)
2015/08/10 Javascript
JavaScript实现身份证验证代码
2016/02/17 Javascript
文本框只能输入数字的js代码(含小数点)
2016/07/10 Javascript
原生js获取元素样式的简单方法
2016/08/06 Javascript
微信小程序图片自适应支持多图实例详解
2017/06/21 Javascript
JS设置随机出现2个数字的实例代码
2017/07/19 Javascript
vue实现简单瀑布流布局
2020/05/28 Javascript
[04:00]DOTA2解说界神雕侠侣 CJ第四天谷子现场过生日
2013/07/30 DOTA
Python中的引用和拷贝浅析
2014/11/22 Python
5种Python单例模式的实现方式
2016/01/14 Python
解析Mac OS下部署Pyhton的Django框架项目的过程
2016/05/03 Python
Python简单实现阿拉伯数字和罗马数字的互相转换功能示例
2018/04/17 Python
解决pycharm py文件运行后停止按钮变成了灰色的问题
2018/11/29 Python
python自动发邮件总结及实例说明【推荐】
2019/05/31 Python
django admin 自定义替换change页面模板的方法
2019/08/23 Python
pytorch之inception_v3的实现案例
2020/01/06 Python
使用bandit对目标python代码进行安全函数扫描的案例分析
2021/01/27 Python
HTML5的一个显示电池状态的API简介
2015/06/18 HTML / CSS
Charlotte Tilbury美国官网:英国美妆品牌
2017/10/13 全球购物
试述DBMS的主要功能
2016/11/13 面试题
物流管理应届生求职信
2013/11/07 职场文书
初三化学教学反思
2014/01/23 职场文书
市场营销工作计划书
2014/09/15 职场文书
四风问题专项整治工作情况报告
2014/10/28 职场文书
培养联系人考察意见
2015/06/01 职场文书
高三教师工作总结2015
2015/07/21 职场文书